Säkerhet och integritet för klienter i Configuration Manager
Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Det här avsnittet innehåller säkerhets- och sekretessinformation för klienter i System Center 2012 Configuration Manager och för mobila enheter som hanteras av Exchange Server-anslutningen:
Regelverk för säkerhet för Configuration Manager-klienter och för mobila enheter som hanteras av Exchange Server-anslutningen
- Säkerhetsproblem för Configuration Manager-klienter
Sekretessinformation för Configuration Manager-klienter
Sekretessinformation för mobila enheter som hanteras via Exchange Server-anslutningen
Regelverk för säkerhet för Configuration Manager-klienter och för mobila enheter som hanteras av Exchange Server-anslutningen
När Configuration Manager godkänner data från enheter som kör Configuration Manager-klienten medför detta risken att klienterna angriper platsen. De kan exempelvis skicka felaktig inventeringsinformation eller försöka överbelasta platssystemen. Distribuera bara Configuration Manager-klienten på enheter som du har förtroende för. Använd också följande rekommenderade säkerhetsmetoder för att skydda platsen från icke-registrerade eller manipulerade enheter:
Regelverk för säkerhet |
Mer information |
||
|---|---|---|---|
Använd PKI-certifikat (Public Key Infrastructure) för klientkommunikation med platssystem som kör IIS:
|
Certifikaten krävs för mobila enhetsklienter och för klientdatoranslutningar på Internet, och rekommenderas för alla klientanslutningar på intranätet förutom för distributionsplatser. Mer information om PKI-certifikatkraven och hur de används för att skydda Configuration Manager finns i PKI-certifikatkrav för Configuration Manager. |
||
Godkänn automatiskt klientdatorer från betrodda domäner och kontrollera och godkänn andra datorer manuellt |
Om du inte kan använda PKI-autentisering kan du genom att godkänna en betrodd dator identifiera den som hanterad av Configuration Manager. Du kan konfigurera manuellt godkännande, automatiskt godkännande för datorer i betrodda domäner eller automatiskt godkännande för alla datorer i hierarkin. Den säkraste metoden är att automatiskt godkänna klienter som tillhör betrodda domäner och därefter manuellt kontrollera och godkänna övriga datorer. Automatiskt godkännande av alla klienter rekommenderas inte såvida du inte använder något annat sätt att förhindra att obehöriga datorer får åtkomst till nätverket. Mer information om att manuellt godkänna datorer finns i Hantera klienter från noden Enheter. |
||
Förlita dig inte på blockering som metod för att hindra klienter från att få åtkomst till Configuration Manager-hierarkin |
Blockerade klienter avvisas av Configuration Manager-infrastrukturen, så att de inte kan kommunicera med platssystem för att ladda ned principer, ladda upp lagerdata eller skicka tillstånds- eller statusmeddelanden. Du bör dock inte använda blockering för att skydda Configuration Manager-hierarkin från icke tillförlitliga datorer när platssystemen godkänner HTTP-klientanslutningar. I det här fallet kunde en blockerad klient ansluta till webbplatsen igen med ett nytt självsignerat certifikat och maskinvaru-ID. Blockering är avsett för att blockera förlorade eller skadade startmedier när du distribuerar ett operativsystem till klienter och när alla platssystem godkänner HTTPS-klientanslutningar. Om du använder en infrastruktur som bygger på offentliga nycklar (PKI) och den har stöd för en lista över återkallade certifikat, bör du använda certifikatåterkallning som första försvarslinje mot potentiellt falska certifikat. Att blockera klienter i Configuration Manager är en andra försvarslinje för att skydda din hierarki. Mer information finns i avsnittet Avgöra om klienter ska blockeras i Configuration Manager. |
||
Använd de säkraste klientinstallationsmetoderna för din miljö:
|
Av alla klientinstallationsmetoder är push-installation den minst säkra på grund av de många beroenden som finns, bland annat lokal administratörsbehörighet, Admin$-resursen och många brandväggsundantag. Dessa beroenden ökar riskerna för angrepp. Mer information om olika klientinstallationsmetoder finns i Bestämma vilken klientinstallationsmetod som ska användas för Windows-datorer i Configuration Manager. När det är möjligt bör du också välja en klientinstallationsmetod som kräver de lägsta säkerhetsbehörigheterna i Configuration Manager och begränsa antalet administrativa användare med tilldelade säkerhetsroller som omfattar behörigheter som kan användas för andra syften än klientdistribution. Till exempel krävs för en automatisk klientuppgradering säkerhetsrollen Fullständig administratör vilket ger en administrativ användare alla säkerhetsbehörigheter. Mer information om beroenden och vilka säkerhetsbehörigheter som krävs för varje klientinstallationsmetod finns i "Installationsmetodens beroenden" i avsnittet Förutsättningar för datorklienter i ämnet Förutsättningar för Windows-klientdistribution i Configuration Manager. |
||
Om du måste använda push-installation av klienter bör du vidta ytterligare åtgärder för att skydda kontot för push-installation av klienter |
Det här konto måste visserligen vara medlem i den lokala gruppen Administratörer på varje dator där Configuration Manager-klientprogramvaran installeras men du bör aldrig lägga till kontot för push-installation av klienter i gruppen Domänadministratörer. Skapa i stället en global grupp och lägg till den i den lokala gruppen Administratörer på klientdatorerna. Du kan också skapa ett grupprincipobjekt för att lägga till en Begränsad grupp-inställning och lägga till kontot för push-installation av klienter i den lokala gruppen Administratörer. Som extra skydd kan du skapa flera konton för push-installation av klienter, vart och ett med administratörsåtkomst till ett begränsat antal datorer så att om något av kontona skulle skadas, drabbas bara de klientdatorer som det kontot har åtkomst till. |
||
Ta bort certifikat innan du avbildar klientdatorn |
Om du planerar att distribuera klienter med hjälp av avbildningsteknik måste du ta bort certifikat, till exempel PKI-certifikat som innehåller klientautentisering och självsignerade certifikat, innan du gör avbildningen. Om du inte tar bort certifikaten kan klienterna stjäla varandras identitet och du kan inte kontrollera informationen för varje klient. Mer information om att använda Sysprep för att förbereda en dator för avbildning finns i dokumentationen för Windows-distributionen. |
||
Se till att Configuration Manager-datorklienterna får en auktoriserad kopia av följande certifikat:
|
|
||
Använd inte automatisk platstilldelning om klienten laddar ned den betrodda rotnyckeln från den första hanteringsplats den kontaktar |
Den här rekommenderade säkerhetsmetoden är länkad till föregående post. Använd bara automatisk platstilldelning i följande situationer för att undvika risken att en ny klient laddar ned den betrodda rotnyckeln från en falsk hanteringsplats:
Mer information om nyckeln för betrodda rotcertifikatutfärdare finns i avsnittet Planera för den betrodda rotnyckeln i ämnet Planera säkerhet i Configuration Manager. |
||
Installera klientdatorer med CCMSetup Client.msi-alternativet SMSDIRECTORYLOOKUP=NoWINS |
Den säkraste tjänstplatsmetoden för klienter för att hitta platser och hanteringsplatser är att använda Active Directory Domain Services. Om det inte är möjligt, till exempel för att du inte kan utöka Active Directory-schemat för Configuration Manager eller för att klienterna är i en icke-betrodd skog eller i en arbetsgrupp, kan du använda DNS-publicering som alternativ metod för att hitta platsen för en tjänst. Om båda metoderna misslyckas kan klienterna använda WINS om hanteringsplatsen inte har konfigurerats för HTTPS-klientanslutningar. Eftersom publicering på WINS är mindre säkert än andra publiceringsmetoder bör du konfigurera klientdatorerna så att de inte använder WINS genom att ange SMSDIRECTORYLOOKUP=NoWINS. Om du måste använda WINS för att hitta platsen för en tjänst använder du SMSDIRECTORYLOOKUP=WINSSECURE (standardinställningen) som verifierar det självsignerade certifikatet för hanteringsplatsen med den betrodda rotnyckeln i Configuration Manager.
|
||
Se till att underhållsperioderna är tillräckligt långa för att distribuera kritiska programuppdateringar |
Du kan konfigurera underhållsperioder för enhetssamlingar för att begränsa den tid då Configuration Manager kan installera programvara på enheterna. Om du konfigurerar en för kort underhållsperiod kanske inte klienten kan installera kritiska programuppdateringar, vilket gör klienten sårbar för angrepp som en uppdatering annars skulle hindra. |
||
För Windows Embedded-enheter som har skrivfilter bör du vidta extra säkerhetsåtgärder för att minska riskerna för angrepp ifall Configuration Manager inaktiverar skrivfiltren för att bevara programvaruinstallationer och ändringar. |
När skrivfilter är aktiverade på Windows Embedded-enheter sker programvaruinstallationer och ändringar bara i överlägget och är inte kvar när enheten startas om, Om du använder Configuration Manager för att tillfälligt inaktivera skrivfilter för att ha kvar programvaruinstallationer och ändringar, är den inbäddade enheten under denna tid sårbar för ändringar i alla volymer, även delade mappar. Även om Configuration Manager låser datorn under denna tid så att bara lokala administratörer kan logga in, bör du när det är möjligt vidta ytterligare säkerhetsåtgärder för att skydda datorn. Du kan till exempel aktivera ytterligare begränsningar i brandväggen och koppla bort enheten från nätverket. Om du använder underhållsperioder för att bevara ändringar bör du planera perioderna noga för att minimera den tid som skrivfiltren kan vara inaktiverade men göra tiden tillräckligt lång för att tillåta programvaruinstallationer och omstarter. |
||
Om du använder programuppdateringsbaserad klientinstallation och installerar en senare version av klienten på platsen, bör du uppdatera programuppdateringen på programuppdateringsplatsen så att klienterna får den senaste versionen. |
Om du installerar en senare version av klienten på platsen, om du till exempel uppgraderar platsen, uppdateras inte automatiskt programuppdateringen för klientdistribution på programuppdateringsplatsen. Du måste publicera om Configuration Manager-klienten på programuppdateringsplatsen och klicka på Ja för att uppdatera versionsnumret. Mer information finns i avsnittet ”Publicera Configuration Manager-klienten till programuppdateringsplatsen” i avsnittet Så här installerar du Configuration Manager-klienter med programuppdateringsbaserad installation i ämnet Installera klienter på Windows-baserade datorer i Configuration Manager. |
||
Ställ bara in Datoragent-klientenhetsinställningen Inaktivera PIN-koden för BitLocker vid omstart på Alltid för datorer som du har förtroende för och som har begränsad fysisk åtkomst |
När du anger den här klientinställningen till Alltid, kan Configuration Manager slutföra installationen av programvaran för att se till att de kritiska programuppdateringarna installeras och att tjänsterna återupptas. Om en angripare hindrar uppstartsprocessen kan denne ta kontroll över datorn. Använd endast den här inställningen när du litar på datorn och när den fysiska åtkomsten är begränsad. Den här inställningen kan till exempel vara lämplig för servrar i ett datacenter. |
||
Konfigurera inte PowerShell-körningsprincipen för klientenhetsinställningen Datoragent till Kringgå. |
Med den här klientinställningen kan klienten Configuration Manager köra osignerade PowerShell-skript, vilket kan tillåta att skadlig kod körs på klientdatorer. Om du måste välja det här alternativet ska du använda en anpassad klientinställning och endast tilldela den till klientdatorer som måste köra osignerade PowerShell-skript. |
||
För mobila enheter som du registrerar med Configuration Manager och som stöds på Internet: Installera registreringsproxyplatsen i ett randnätverk och registreringsplatsen i intranätet. |
Den här rolldelningen hjälper till att skydda registreringsplatsen från attacker. Om registreringsplatsen manipuleras kan en angripare erhålla certifikat för autentisering och stjäla autentiseringsuppgifter från användare som registrerar sig på sina mobila enheter. |
||
För mobila enheter: Konfigurera lösenordsinställningarna för att skydda mobilenheter från obehörig åtkomst |
Mobila enheter som har registrerats av Configuration Manager: Använd ett konfigurationsobjekt för mobila enheter för att konfigurera lösenordskomplexitet till PIN-koden och minst standardlängden för den minsta lösenordslängden. För mobila enheter där Configuration Manager-klienten inte är installerad men som hanteras av Exchange Server-anslutningen: Konfigurera lösenordsinställningarna för Exchange Server-anslutningen så att lösenordskomplexiteten är PIN-koden och ange minst standardlängden för den minsta lösenordslängden. |
||
För mobila enheter: Skydda dig mot angrepp på lager- och statusinformation genom att ange att program endast får köras när de har signerats av företag som du litar på och tillåt inte att osignerade filer installeras |
Mobila enheter som har registrerats av Configuration Manager: Använd ett konfigurationsobjekt för en mobil enhet för att konfigurera säkerhetsinställningen Osignerade program som Förbjudet och Osignerade filinstallationer som en pålitlig källa. För mobila enheter där Configuration Manager-klienten inte är installerad men som hanteras av Exchange Server-anslutningen: Konfigurera programinställningarna för Exchange Server-anslutningen, så att Osignerad filinstallation och Osignerade program konfigureras som Förbjudna. |
||
För mobila enheter: Du kan förhindra privilegieangrepp genom att låsa den mobila enheten när den inte används. |
Mobila enheter som har registrerats av Configuration Manager: Använd ett konfigurationsobjekt för mobila enheter för att konfigurera lösenordsinställningen Vilotid i minuter innan den mobila enheten låses. För mobila enheter där Configuration Manager-klienten inte är installerad men som hanteras av Exchange Server-anslutningen: Konfigurera lösenordsinställningarna för Exchange Server-anslutningen för att konfigurera Vilotid i minuter innan den mobila enheten låses. |
||
För mobila enheter: Du kan förhindra höjning av privilegier genom att begränsa det antal användare som kan registrera sina mobila enheter. |
Använd en anpassad klientinställning snarare än standardklientinställningar så att endast auktoriserade användare kan registrera sina mobila enheter. |
||
För mobila enheter: Distribuera inte program till användare som har mobila enheter som har registrerats med hjälp av Configuration Manager eller Microsoft Intune i följande scenarier:
|
En mappning mellan användare och enhet skapas vid registreringen, som mappar den användare som utför registreringen till den mobila enheten. Om en annan användare använder den mobila enheten kan de köra program som du distribuerar till den ursprungliga användaren, vilket kan resultera i en höjning av privilegier. Om en administratör registrerar den mobila enheten för en användare installeras inte heller program som distribueras till användaren på den mobila enheten, utan i stället kan program som har distribuerats till administratören installeras. Till skillnad från vid mappning mellan användare och enhet för Windows-användare kan du inte definiera mappningsinformation mellan användare och enhet manuellt för mobila enheter som registreras via Microsoft Intune. Om du överför ägarskapet för en mobil enhet som har registrerats via Intune, så tar du bort den mobila enheten från Intune för att ta bort mappningen mellan användaren och enheten och sedan ber du den aktuella användaren att registrera enheten igen. |
||
För mobila enheter: Se till att användare registrerar sina egna mobila enheter för Microsoft Intune |
En mappningsrelation mellan användare och enhet skapas under registreringen, vilket mappar användaren som utför registreringen till den mobila enheten. Därför kommer program som distribueras till användaren inte att installeras på den mobila enheten om en administratör registrerar den mobila enheten för en användare, utan i stället kan det hända att program som är distribuerade till administratören installeras. |
||
För Exchange Server-anslutningen: Kontrollera att anslutningen mellan platsservern Configuration Manager och Exchange Server-datorn är skyddad |
Använd IPsec om Exchange Server är installerad lokalt. Om Exchange har en värd så skyddas anslutningen med SSL. |
||
För Exchange Server-anslutningen: Använd principen Lägsta privilegier för anslutningen. |
En lista över de minsta cmdlets som krävs för Exchange Server-anslutningen finns i Hantera mobila enheter med Configuration Manager och Exchange. |
||
För Mac-datorer: Lagra och kom åt klientkällfilerna från en skyddad plats. |
Configuration Manager verifierar inte om någon har manipulerat klientkällfilerna före installation eller registrering av klienten på Mac-datorn. Ladda ned dessa filer från en pålitlig källa och lagra och få åtkomst till dem på ett säkert sätt. |
||
För Mac-datorer: Övervaka och spåra giltighetsperioden för certifikatet som har registrerats för användare oberoende av Configuration Manager. |
För att garantera kontinuitet i verksamheten bör du övervaka och spåra validitetsperioden för de certifikat som du använder för Mac-användare.Configuration Manager SP1 stöder inte automatisk förnyelse av det här certifikatet eller varnar dig om att certifikatet håller på att gå ut. En vanlig giltighetsperiod är 1 år. Information om hur du förnyar certifikatet finns i avsnitten Förnya Mac-klientcertifikat i avsnittet Så här installerar du klienter på Mac-datorer i Configuration Manager. |
||
För Mac-datorer: Beakta att konfigurera certifikatet för den betrodda rotcertifikatutfärdare som endast är betrodd för SSL-protokoll för att skydda mot rättighetsökning. |
När du registrerar Mac-datorer installeras ett användarcertifikat för att hantera klienten Configuration Manager automatiskt, tillsammans med det betrodda rotcertifikat som användarcertifikatet länkar till. Om du vill begränsa förtroendet för det här rotcertifikatet endast till SSL-protokollet kan du använda följande procedur. När du slutför den här proceduren är inte rotcertifikatet pålitligt för att validera andra protokoll än SSL – till exempel Secure Mail (S/MIME), Utökningsbart autentiseringsprotokoll (EAP) eller kodsignering.
Begränsa certifikatet för rotcertifikatutfärdaren endast till SSL-protokollet:
|
.jpeg "System_CAPS_note"){kind=icon}
Obs!
Säkerhetsproblem för Configuration Manager-klienter
Följande säkerhetsfrågor har ingen minskning:
Statusmeddelanden är inte autentiserade
Ingen autentisering utförs på statusmeddelanden. När HTTP-klientanslutningar accepteras för en hanteringsplats kan alla enheter skicka statusmeddelanden till hanteringsplatsen. Om endast HTTPS-klientanslutningar accepteras på hanteringsplatsen måste en enhet erhålla ett giltigt klientautentiseringscertifikat från en betrodd rotcertifikatutfärdare, men kan då också skicka alla statusmeddelanden. Om en klient skickar ett ogiltigt statusmeddelande ignoreras det.
Det finns några få potentiella angrepp mot den här säkerhetsrisken. En angripare kan skicka ett falskt statusmeddelande för att få medlemskap i en samling som baseras på statusmeddelandefrågor. Alla klienter kan neka en tjänst mot hanteringspunkten genom att låta den översvämmas av statusmeddelanden. Om statusmeddelanden utlöser åtgärder i filterregler för statusmeddelanden kan en angripare utlösa filterregeln för statusmeddelande. En angripare kan också skicka statusmeddelanden som gör rapporteringsinformation felaktig.
Principer kan ge nya mål till klienter som inte har något mål
Det finns flera metoder som angripare kan använda för att göra så att en princip som är mål för en klient tillämpas på en helt annan klient. Till exempel kan en person som angriper en pålitlig klient skicka falsk lager- eller identifieringsinformation för att lägga till datorn till en samling som den inte tillhör och sedan ta emot alla distributioner till den samlingen. Medan kontroller kan hjälpa till att förhindra inkräktare från att ändra policyn direkt kan inkräktare använda en befintlig princip för att formatera om och omdistribuera ett operativsystem och skicka det till en annan dator, vilket leder till att tjänsten nekas. Dessa typer av angrepp kräver exakt timing och en omfattande kunskap om Configuration Manager-infrastrukturen.
Med klientloggar ges användaråtkomst
Via alla klientloggar får användare läsåtkomst och interaktiva användare får skrivåtkomst. Om du aktiverar utförlig loggning kan inkräktare läsa loggfiler för att leta efter information om kompatibilitet eller säkerhetsrisker i systemet. Processer som programvaruinstallation som utförs i en användares kontext måste kunna skriva till loggar med ett användarkonto med begränsade rättigheter. Detta innebär att en inkräktare också kan skriva till loggar med ett konto med begränsade rättigheter.
Den mest allvarliga risken är att en inkräktare kan ta bort information i de loggfiler som en administratör kan behöva för att granskning och identifiering av inkräktare.
En dator bör användas för att erhålla ett certifikat som har utfärdats för registrering via mobila enheter
När en registreringsbegäran bearbetas i Configuration Manager, går det inte att verifiera att begäran har sitt ursprung i en mobil enhet i stället för en dator. Om begäran kommer från en dator kan ett PKI-certifikat installeras som sedan tillåter att det registreras med Configuration Manager. Tillåt bara att betrodda användare registrerar sina mobila enheter och övervaka registreringsaktiviteter för att förhindra ett angrepp på privilegier i det här scenariot.
Anslutningen från en klient till hanteringsplatsen avbryts inte om du blockerar en klient och den blockerade klienten kan fortsätta att skicka klientmeddelandepaket till hanteringsplatsen som keep-alive-meddelanden
För System Center 2012 Configuration Manager SP1 och senare:
När du blockerar en klient som du inte längre litar på och klienten har upprättat en klientmeddelandekommunikation så frånkopplas inte sessionen i Configuration Manager. den blockerade klienten kan fortsätta att skicka paket till hanteringsplatsen tills klienten kopplas från nätverket. Paketen är endast små keep alive-paket och klienterna kan inte hanteras av Configuration Manager förrän blockeringen tas bort.
När du använder en automatisk klientuppgradering och klienten dirigeras till en hanteringsplats för att ladda ned klientkällfilerna verifieras inte hanteringsplatsen som en betrodd källa.
För System Center 2012 Configuration Manager SP1 och senare:
Om du använder automatisk klientuppgradering i en Configuration Manager-hierarki där Configuration Manager SP1 körs på vissa platser och där Configuration Manager körs utan service pack på vissa platser, så dirigeras en klient på en Configuration Manager-plats utan service pack så att klientkällfiler laddas ned från den tilldelade hanteringsplatsen snarare än från distributionsplatser. Detta säkerställer att klienter som tilldelas till platser där Configuration Manager körs utan service pack inte installerar Configuration Manager SP1-klientkällfiler, vilket leder till att klienten inte hanteras. Om det här scenariot uppstår verifieras inte hanteringsplatsen av klienterna som en betrodd källa och det är möjligt att omdirigera klienterna till en otillåten hanteringsplats för klientinstallationsfilerna. Risken är dock låg eftersom klienter kommer att avslå alla klientinstallationsfiler som inte har signerats av Microsoft. Klienter verifierar alltid förtroendet innan de laddar ned klientprincipen från hanteringsplatser.
När användare registrerar Mac-datorer för första gången riskerar de att utsättas för DNS-förfalskning.
När Mac-datorn ansluter till proxyn för registreringsplatsen under registreringen är det inte troligt att Mac-datorn redan har certifikatet för rotcertifikatutfärdaren. I det här läget är servern inte betrodd av Mac-användaren och användaren tillfrågas om han/hon vill fortsätta. Om det fullständigt kvalificerade namnet på proxyn för registreringsplatsen blir löst av en otillåten DNS-server kan Mac-datorn omdirigeras till en otillåten proxy för registreringsplatsen och installera certifikat från en ej betrodd källa. Du reducerar den här risken genom att följa de bästa metoderna för att undvika DNS-förfalskning i din miljö.
Mac-registrering begränsar inte certifikatbegäranden
Användare kan registrera sina Mac-datorer på nytt och begära ett nytt klientcertifikat varje gång.Configuration Manager kontrollerar inte om det finns flera begäranden eller begränsar antalet certifikat som begärts från en enda dator. En obehörig användare kan köra ett skript som upprepar registreringsbegäran på kommandoraden, vilket leder till att tjänsten nekas i nätverket eller för certifikatutfärdaren. Om du vill reducera den här risken övervakar du certifikatutfärdaren noggrant vid den här typen av misstänkt beteende. En dator som uppvisar det här beteendemönstret bör omedelbart blockeras från Configuration Manager-hierarkin.
En rensningsbekräftelse verifierar inte att enheten har rensats
När du startar en rensningsåtgärd för en mobil enhet och Configuration Manager visar den rensningsstatus som ska bekräftas innebär verifieringen att Configuration Manager har skickat meddelandet och inte att enheten har vidtagit någon åtgärd. Dessutom verifierar en rensningsbekräftelse för mobila enheter som hanteras med Exchange Server-anslutningen att kommandot har tagits emot av Exchange, inte av enheten.
Om du använder alternativen för att göra ändringar på Windows Embedded-enheter i Configuration Manager SP1 kan kontona utelåsas snabbare än väntat
Om Windows Embedded-enheten kör tidigare operativsystem som föregår Windows 7 och en användare försökar att logga in medan skrivfiltren har inaktiverats för att utföra de ändringar som gjorts av Configuration Manager SP1, halveras antalet tillåtna felaktiga inloggningsförsök innan kontot utelåses. Om till exempel Tröskelvärde för kontoutelåsning konfigureras som 6 och en användare skriver in fel lösenord 3 gånger utelåses kontot och tjänsten nekas. Om användarna måste logga in till inbäddade enheter i det här scenariot, varna dem för att utelåsningströskeln kan sänkas.
Sekretessinformation för Configuration Manager-klienter
När du distribuerar Configuration Manager-klienten aktiverar du klientinställningarna så att du kan använda Configuration Manager-administrationsfunktionerna. Inställningarna som du använder för att konfigurera funktionerna kan tillämpas på alla klienter i Configuration Manager hierarkin oavsett om de är direkt anslutna till företagsnätverket, anslutna via en fjärrsession eller anslutna till Internet, men stödda av Configuration Manager.
Klientinformationen lagras i Configuration Manager-databasen och skickas inte till Microsoft. Informationen sparas i databasen tills den raderas av platsunderhållet Ta bort föråldrade identifieringsdata var 90:e dag. Du kan konfigurera borttagningsintervallet.
Innan du konfigurerar Configuration Manager-klienten bör du tänka igenom dina sekretesskrav.
Sekretessinformation för mobila enhetsklienter som administreras av Configuration Manager
Sekretessinformation för att registrera mobila enheter med Configuration Manager hittar du i Microsoft System Center 2012 – Sekretesspolicy för Configuration Manager – Tillägg för mobila enheter.
Klientstatus
Configuration Manager övervakar aktiviteten hos klienter och utvärderar regelbundet och kan reparera Configuration Manager-klienten och dess beroenden. Klientstatusen är aktiverad som standard och den använder servermått för att kontrollera klientaktiviteten och klientinriktade åtgärder för egenkontroller och reparationer samt för att skicka information om klientstatus information till platsen Configuration Manager. Klienten kör egenkontrollerna enligt ett schema som du kan konfigurera. Klienten skickar resultaten från kontrollerna till platsen Configuration Manager. Informationen är krypterad under överföringen.
Klientens statusinformation sparas i Configuration Manager-databasen och skickas inte till Microsoft. Informationen lagras inte i krypterad form i platsdatabasen. Den lagras i databasen tills den raderas enligt det värde som har ställts in för klientstatusinställningen Behåll klientstatushistorik i så här många dagar. Standardvärdet är 31 dagar.
Innan du installerar Configuration Manager-klienten med klientstatuskontroll bör du tänka igenom dina sekretesskrav.
Sekretessinformation för mobila enheter som hanteras via Exchange Server-anslutningen
Exchange Server-anslutningen hittar och hanterar enheter som ansluter till Exchange-servern (lokal eller med värd) genom att använda ActiveSync-protokollet. Poster som hittats av Exchange Server-anslutningen lagras i Configuration Manager-databasen. Informationen samlas in från Exchange-servern. Den innehåller ingen ytterligare information än den som de mobila enheterna skickar till Exchange-servern.
Information om de mobila enheterna skickas inte till Microsoft. Informationen om de mobila enheterna lagras i Configuration Manager-databasen. Informationen sparas i databasen tills den raderas av platsunderhållet Ta bort föråldrade identifieringsdata var 90:e dag. Du kan konfigurera borttagningsintervallet.
Innan du installerar och konfigurerar Exchange Server-anslutningen bör du tänka igenom dina sekretesskrav.